RGPD : la Cnil dévoile un nouveau registre simplifié

Le Règlement général sur la Protection de données personnelles (RGPD), régulé en France par la CNIL, est entré en vigueur le 25 juin dernier. Afin d’accompagner au mieux chaque professionnel dans sa mise en conformité, cet organisme publie un modèle de registre simplifié en tableur, au format ouvert, et qui peut s’adapter à de nombreux cas traitements de données. Retour sur cette innovation.
Au plus fort de l’été, au moment où les vacances et le répit battent leur plein, La CNIL a redoublé de vigilance et a rappelé que le respect des données personnelles est au cœur de ses préoccupations, et malheur aux contrevenants. Preuve en est et sans attendre, un courtier a écopé d’une sanction de 180 000 EUROS. Et pour cause : le courtier a été pris pour atteinte à la sécurité des données de ses clients qui interagissaient avec le distributeur via le Web. Ce qui confirme, si besoin était, pour ceux qui en doutaient encore, que les courtiers ne sont pas épargnés par cette règlementation. La formation restreinte de cet organisme de régulation a condamné le courtier, pour défaut de protection des données des utilisateurs interagissant avec le distributeur via le site web. On ne saurait donc assez rappeler aux distributeurs, la nécessité de protéger les données personnelles.
Une telle obligation relève de l’article 30 du RGPD et s’applique à tous les organismes traitant les données personnelles régulièrement. C’est le cas des courtiers auxquels la mise sur pied et le maintien d’un registre des traitements doit permettre d’identifier surtout les parties prenantes qui interviennent dans le traitement des données. A quoi servent ces données ? qui y accède et à qui sont-elles communiquées ? Combien de temps sont-elles conservées ? Comment sont-elles sécurisées ? Pour les sous-traitants qui gèrent des données personnelles ? pour le compte d’un autre organisme ? C’est le cas des courtiers, pour lesquels le règlement prévoit également la tenue d’un registre. Ce dernier doit notamment intégrer la liste des activités réalisées pour le compte de leurs clients.
Si le registre s’inscrit dans le respect d’une obligation légale, son exploitation va plus loin. Témoin, il est également un outil incontournable pour permettre de recenser, de comprendre et de maîtriser les données personnelles de ses salariés, clients ou fournisseurs. Sa constitution et sa tenue constituent une occasion de se poser les bonnes questions et de limiter les risques au regard du RGPD. C’est aussi un moment utile pour construire un plan d’action de mise en conformité aux règles de protection des données. En fait, elle est l’occasion de mettre en place une analyse d’impacts.
Le nouveau registre simplifié arrive avec de multiples formats, gage de son ouverture. Il est également réutilisable par tout le monde. Il est disponible au format .ods, ou Open Document Spreadsheet compatible avec la plupart des tableurs (Microsoft Excel, OpenOffice Calc, LibreOffice Calc). Grande nouveauté, il intègre une fiche tutorielle. Objectif : accompagner les professionnels dans la conception et la tenue de leur registre, une fiche de liste de traitements, un modèle de fiche à remplir et une fiche d’exemple.
L’arrivée de ce nouveau modèle simplifié intervient presque au même moment où la Cnil sort ses griffes face à un courtier contrevenant. Ce dernier, qui exploite les données personnelles de ses clients pour son activité auto, a pu constater, alerté par un consommateur, que le site du distributeur présentait des failles au regard du RGPD. Après une mise en garde qui n’a pas été observée, l’autorité a frappé le distributeur de 180 000 euros d’amende pour non-respect de la protection des données personnelles. La nouvelle a fait des gorges chaudes dans le landernau et a (dé)montré, si besoin était, que la période d’observation était bel et bien terminée. Des mises en demeure ont été adressées à quelques acteurs de la place parisienne et on a basculé tout d’un coup aux amandes sonnantes et trébuchantes. Moralité, il est plus que jamais nécessaire de veiller au respect du RGPD. L’adoption du registre simplifié participe de cette veille.

Source:Emmanuel Mayega